Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Back to the news list

Обзор вирусной активности в феврале 2014 года

28 февраля 2014 года

Прошедший месяц был самым коротким в году, однако с точки зрения интересных событий в сфере информационной безопасности он оказался довольно насыщенным. Так, в феврале специалисты компании «Доктор Веб» обнаружили несколько рекламных троянцев, подменяющих баннеры в окне браузера, вредоносные программы, похищающие конфиденциальную информацию на компьютерах, а также ряд новых троянцев, угрожающих пользователям мобильной платформы Google Android.

Вирусная обстановка

Согласно статистическим данным, собранным в феврале 2014 года с использованием лечащей утилиты Dr.Web CureIt!, среди выявленных на компьютерах угроз, как и в январе, лидирует распространяющийся под видом легитимного ПО установщик рекламных программ и сомнительных приложений Trojan.Packed.24524. Второе место, как и прежде, занимает рекламный троянец Trojan.LoadMoney.1, а на третьей позиции расположилась еще одна вредоносная программа, предназначенная для демонстрации навязчивой рекламы и подмены содержимого веб-страниц, — Trojan.Triosir.1. Этот троянец распространяется с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями и использует для своей установки инсталлятор Amonetize (amonetize.com), при этом основные модули троянца реализованы в виде плагинов (надстроек) к популярным браузерам. Компания «Доктор Веб» уже сообщала о распространении данной вредоносной программы в одной из своих недавних публикаций. Двадцатка наиболее «популярных» троянцев, обнаруженных на ПК пользователей с помощью лечащей утилиты Dr.Web CureIt! в феврале 2014 года, приведена в следующей таблице.

НазваниеКол-во%
Trojan.Packed.24524645596.39
Trojan.LoadMoney.1206242.04
Trojan.Triosir.1164921.63
Trojan.Siggen5.64541154761.53
Trojan.LoadMoney.15150821.49
Trojan.InstallMonster.51148321.47
Trojan.BPlug.9134941.33
Trojan.Packed.24814131351.30
Trojan.DownLoad3.27814119901.19
Trojan.InstallMonster.38101191.00
BackDoor.IRC.NgrBot.4286140.85
BackDoor.Maxplus.2483200.82
Trojan.Hosts.681578310.77
Trojan.InstallMonster.4773840.73
Trojan.Triosir.273050.72
Trojan.Fraudster.52468390.68
Trojan.InstallMonster.2860540.60
Trojan.LoadMoney.7660500.60
Win32.HLLP.Neshta56810.56
Trojan.StartPage.5996456440.56

Ботнеты

Отслеживаемая специалистами компании «Доктор Веб» бот-сеть, состоящая из персональных компьютеров под управлением Microsoft Windows, инфицированных файловым вирусом Win32.Rmnet.12, продолжает расти. Напомним, что этот вирус обладает способностью к самораспространению без участия пользователя и реализует на зараженном устройстве функции бэкдора, а также позволяет похищать конфиденциальную информацию. Темпы увеличения численности первой из двух подсетей Win32.Rmnet.12 несколько снизились: если в январе к ней ежесуточно подключалось в среднем порядка 18 000 вновь инфицированных ПК, то в феврале это число составило 14 000. Данный процесс наглядно продемонстрирован на представленной ниже диаграмме.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в феврале 2014 года
(1-я подсеть)

graph

Во второй подсети Win32.Rmnet.12 также наметилась тенденция к снижению числа ежесуточно инфицируемых ПК: в конце января эта цифра в среднем составляла 12 000, а к концу февраля достигла 10 000. Динамика прироста численности второй подсети ботнета Win32.Rmnet.12 показана на следующей диаграмме.

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в феврале 2014 года
(2-я подсеть)

graph

Практически не изменилось количество ПК, на которых антивирусное ПО Dr.Web фиксирует наличие вредоносного модуля Trojan.Rmnet.19: в конце января их число составляло 2 633, а спустя месяц — 2 523. По-прежнему действует и узкоспециализированный ботнет BackDoor.Dande, предназначенный для хищения информации из используемых аптеками и фармацевтическими компаниями автоматизированных систем заказа медикаментов. По сравнению с последней неделей января его совокупная численность выросла на 93 зараженные машины и составила 1023 ПК.

Немного сократилось количество компьютеров производства компании Apple, зараженных троянцем для Mac OS X, известным под наименованием BackDoor.Flashback.39: в конце января в данной бот-сети насчитывалось 28 160 зараженных «маков», а по данным на 25 февраля их совокупное количество сократилось до 22 773. Как и прежде, лидерами по числу заражений BackDoor.Flashback.39 являются США и Канада.

Продолжается постепенный рост бот-сети, состоящей из устройств, инфицированных первым в истории буткитом для мобильной ОС Android, известным под именем Android.Oldboot.1.origin. Компания «Доктор Веб» ранее сообщала о его распространении в одном из своих информационных материалов. Напомним, что эта вредоносная программа размещает один из своих компонентов в загрузочном разделе файловой системы, который запускает троянца одновременно с загрузкой ОС Android. Таким образом, часть троянца Android.Oldboot устанавливается в систему как обычное Android-приложение и в дальнейшем функционирует в качестве системного сервиса, подключаясь к удаленному серверу злоумышленников и получая от него различные команды – в частности загрузки, установки или удаления определенных приложений. Наиболее вероятным путем внедрения данной угрозы на мобильные устройства является установка злоумышленниками модифицированной версии прошивки, содержащей необходимые для работы троянца изменения. При этом удаление вредоносного приложения обычно не приводит к положительному результату, поскольку при следующей загрузке устройства внедренный в файловую систему скрипт выполнит их повторную установку, вновь инфицировав файловую систему.

На данный момент численность ботнета составляет около 400 000 зараженных устройств, подсчитанных по уникальным IMEI в период с 1 по 27 февраля. Ранее подсчет велся по IP-адресам, зарегистрированным на управляющем сервере. Прирост бот-сети по числу таких IP-адресов в период с 22 января по 27 февраля 2014 года показан на следующем графике:

graph

В настоящее время специалистам компании «Доктор Веб» помимо данных об IP-адресах удалось получить статистику по уникальным IMEI инфицированных устройств. Динамика прироста бот-сети Android.Oldboot в феврале 2014 года (статистика по уникальным IMEI) показана на следующей диаграмме:

graph

Нашествие рекламных троянцев

В феврале чрезвычайно широкое распространение получили вредоносные программы, предназначенные для подмены рекламных модулей при просмотре веб-сайтов, а также демонстрации назойливой рекламы в окнах браузеров. В начале месяца специалисты компании «Доктор Веб» добавили в вирусные базы сигнатуру троянца Trojan.Admess.1, маскировавшегося под проигрыватель Adobe Flash и устанавливавшегося в качестве надстройки к браузерам Microsoft Internet Explorer, Mozilla Firefox, Opera и Google Chrome. Основное предназначение данной троянской программы — подмена рекламных модулей (и демонстрация новых) при просмотре пользователем различных веб-страниц. Подробному описанию принципа действия Trojan.Admess.1 была посвящена опубликованная на сайте компании «Доктор Веб» статья.

screenshot

Вскоре вирусные аналитики обнаружили еще одну похожую угрозу — Trojan.Triosir.1. Этот троянец также устанавливался на инфицированных компьютерах в виде надстройки к браузеру и распространялся под видом «полезного» приложения. С особенностями архитектуры этой троянской программы можно ознакомиться в соответствующей тематической статье. Согласно собранной компанией «Доктор Веб» статистике, рекламные троянцы Trojan.Admess.1, Trojan.Triosir.1, Trojan.Zadved.1 неизменно находятся в верхней части списка вредоносных программ, обнаруживаемых на компьютерах пользователей.

Прочие угрозы февраля

Не обошли своим вниманием злоумышленники и пользователей компьютеров производства компании Apple: в феврале в вирусные базы Dr.Web был добавлен троянец Trojan.CoinThief, предназначенный для кражи криптовалюты на устройствах, работающих под управлением Mac OS X. Основное функциональное назначение этой вредоносной программы — мониторинг трафика с целью хищения приватных данных из приложений для добычи электронной криптовалюты Bitcoin и Litecoin. Также, в случае если на инфицированном компьютере установлен клиент платежной системы Bitcoin-Qt, Trojan.CoinThief модифицирует эту программу и похищает приватные данные непосредственно из нее. Троянцу Trojan.CoinThief была посвящена небольшая заметка, опубликованная в новостном разделе сайта компании «Доктор Веб».

Другая угроза, получившая наименование Trojan.PWS.OSMP.21, была создана злоумышленниками специально для атаки на терминалы одной из наиболее популярных в России платежных систем. Trojan.PWS.OSMP.21 распространяется в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флеш-накопителя и прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.

screenshot

Троянец отыскивает на зараженном устройстве конфигурационный файл, файлы журналов, а также собирает информацию о жестком диске устройства, после чего все эти данные в зашифрованном виде передает на принадлежащий злоумышленникам сервер. Более подробная информация о Trojan.PWS.OSMP.21 изложена в соответствующей обзорной статье.

Еще один опасный троянец, которого можно отнести к категории RAT (Remote Administration Tool, т. е. средство удаленного администрирования), получил наименование Trojan.PWS.Papras.4. Он обеспечивает работу на инфицированном компьютере нескольких функциональных модулей: один из них реализует функции VNC-севера, другой — сервера Socks Proxy. Еще один модуль позволяет встраивать в просматриваемые пользователем веб-страницы постороннее содержимое (веб-инжекты). Дополнительный модуль (Grabber) предназначен для передачи злоумышленникам содержимого заполняемых пользователем форм в популярных браузерах. Наконец, Trojan.PWS.Papras.4 позволяет выполнять на инфицированном ПК около десяти различных команд, передаваемых злоумышленниками с удаленного сервера. Подробнее о возможностях и функциях этого троянца рассказано в опубликованном на сайте компании «Доктор Веб» информационном материале.

Угрозы для мобильной платформы Android

Для пользователей Android-устройств февраль оказался весьма насыщенным в плане событий, связанных с информационной безопасностью. Так, в начале месяца специалистами компании «Доктор Веб» было обнаружено несколько опасных приложений, встроенных в различные образы операционной системы Android и выполнявших скрытую отправку СМС-сообщений. В частности, одна из этих троянских программ представляла собой аудиоплеер, который без предупреждения пытался зарегистрировать пользователей в китайском музыкальном онлайн-сервисе, отправив для этого СМС, содержащее IMSI-идентификатор. Эта программа не только обладала необъявленным функционалом, но и не контролировала число пересылаемых сообщений, выполняя их отправку при каждом своем запуске и списывая со счета абонента сумму, эквивалентную 5-7 рублям.

screenshot screenshot

Другой схожий по функционалу троянец был встроен в одно из модифицированных системных приложений и также незаметно выполнял отправку СМС, но уже с информацией об IMEI-номере мобильного устройства. Обе угрозы были классифицированы как СМС-троянцы и внесены в вирусную базу под именами Android.SmsSend.1081.origin и Android.SmsSend.1067.origin соответственно.

Не осталась без внимания киберпреступников история с прекращением поддержки разработчиком популярной мобильной игры Flappy Bird: вскоре после того, как она была удалена из каталогов приложений Google Play и App Store, в Интернете появилось не только множество аналогов-подражателей, но также и вредоносные приложения, выдаваемые предприимчивыми мошенниками за оригинал. В действительности же пользователям предлагались типичные троянцы семейства Android.SmsSend, осуществляющие отправку дорогостоящих СМС-сообщений.

screenshot screenshot screenshot

Что же касается Android-угроз, распространяемых среди южнокорейских пользователей, то здесь ситуация в некоторой степени улучшилась: по сравнению с предыдущим месяцем, специалистами компании «Доктор Веб» было зарегистрировано 90 случаев распространения вредоносных программ при помощи СМС-спама, что на 36,6% меньше аналогичного показателя января. При этом стоит отметить, что большая часть троянцев размещалась киберпреступниками на облачных файловых хранилищах, таких как Dropbox и Google Drive, в то время как ранее злоумышленники предпочитали использовать собственные веб-сайты.

screenshot

screenshot

Наиболее часто пользователи Android-устройств Южной Кореи сталкивались с трянцами Android.SmsSpy.65.origin и Android.Spy.64.origin (по 27 случаев рассылки нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносной программы), а также Android.Spy.55.origin (10 случаев) и Android.SmsSpy.53.origin (9 случаев).

screenshot

Также в последнем зимнем месяце текущего года в вирусные базы компании «Доктор Веб» было внесено несколько записей для новых версий ряда коммерческих шпионских приложений, которые, судя по всему, по-прежнему остаются востребованными на мобильном рынке.

Вредоносные файлы, обнаруженные в почтовом трафике в феврале

 01.02.2014 00:00 - 28.02.2014 17:00 
1Trojan.Inject2.230.81%
2Trojan.DownLoader9.199470.68%
3Trojan.Oficla.zip0.61%
4Trojan.DownLoad3.281610.59%
5Trojan.PWS.Panda.47950.55%
6Tool.MailPassView.2250.52%
7Trojan.DownLoader9.198500.52%
8Trojan.PWS.Panda.24010.52%
9Exploit.Rtf.350.50%
10Trojan.PWS.Panda.62220.39%
11Trojan.DownLoader9.198340.37%
12Trojan.PWS.Panda.6550.37%
13Trojan.PWS.Panda.5470.36%
14Trojan.Fraudster.7780.36%
15Trojan.PWS.Panda.56760.36%
16BackDoor.Comet.8840.32%
17Exploit.Rtf.380.32%
18BackDoor.Andromeda.2670.32%
19Trojan.Inject1.371060.29%
20Trojan.Inject1.370710.28%

Вредоносные файлы, обнаруженные в феврале на компьютерах пользователей

 01.02.2014 00:00 - 28.02.2014 17:00 
1Trojan.InstallMonster.510.59%
2Trojan.Packed.245240.56%
3Trojan.LoadMoney.150.54%
4Trojan.Fraudster.5240.47%
5Trojan.Hosts.281880.42%
6Trojan.LoadMoney.10.39%
7Trojan.InstallMonster.470.34%
8JS.Redirector.2090.33%
9BackDoor.IRC.NgrBot.420.32%
10Trojan.StartPage.599640.29%
11Trojan.Packed.248140.28%
12BackDoor.PHP.Shell.60.28%
13Win32.HLLW.Shadow0.26%
14Trojan.MulDrop4.253430.21%
15Trojan.Triosir.10.20%
16Win32.HLLW.Autoruner.598340.20%
17Trojan.Fraudster.5020.19%
18Trojan.Spambot.111760.18%
19Win32.HLLW.Shadow.based0.17%
20Trojan.LoadMoney.2270.17%

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии